「遭受駭客攻擊事件後，造成民眾的不安及困擾，我們深表歉意⋯⋯現今社會網路上各類詐騙充斥，若對本院就醫資料有疑慮，可撥打本院資安服務電話⋯⋯。」

這是今年3月初，台北馬偕紀念醫院（後稱馬偕醫院）為了安撫病患，對院內所撥放的安心廣播內容。

為了進一步讓數百名擔心受怕的病人放心，馬偕醫院安全部更特別設置了院內專線電話，供需要的人能第一時間撥打並獲得說明。期間，這支電話一共接到約12位患者和家屬的來電，他們擔心自己個資外洩、害怕被騷擾和詐騙，全是因為駭客的蹤跡幾乎近在眼前，電視新聞裡醫院被勒索病毒攻擊的消息正鬧得沸沸揚揚。

這起攻擊行動的源頭，要向前回溯到2月6日晚間。

「那個當下，我們發現大家的電腦系統都沒辦法運作，不管是病人端、護理端還是醫療端都不行；很多檔案的檔名被改成.hunter，駭客也在電腦裡留下中文的勒索訊息，」一名醫院的基層工作人員回憶。

勒索訊息是這麼寫的：

「您的所有文件都已加密！你必須支付比特幣支付解密費用，價格取決於你寫信給我們的速度。對不起竊取了你們醫院所有的數據，包含PACS、EMR、HIS和全院醫護人員個資、官方文件數據等。我知道你們有備份軟體，但這無法防止國際新聞的出現、敏感個資的外洩和社會影響力的損失；如果您不與我們合作，我們將公開所有數據、資訊和內部網路資訊。那時您面臨的不僅是處理勒索軟體事件，可能會受到社會譴責，或是更強大的組織再次攻擊。」

與此同時，名為CrazyHunter的駭客也駭進馬偕電子信箱，並用其中一位醫師的名義將勒索訊息廣為散布，並留下相似的攻擊宣告。

面對威脅，馬偕醫院資訊室除了通報衛生福利部外，30多位資訊人員開始臨場應變，他們奔走在急診室和護理站之間，更換每一台遭受感染的電腦。看診也跟著回歸傳統，醫師手寫醫囑，走出診間在放射科室用投影片和病患講解病情，甚至將備存多年未曾使用的紙本病歷從檔案庫中翻出預備應急。好在數個小時努力後，系統暫時回歸穩定。

但在3天後，2月12號，駭客再次出手。

「你好，我是crazy hunters。由於你們IT部門無能，我入侵了淡水和台北所醫院的伺服器，並且批量發送勒索病毒。不幸的是，72小時過去了，你們的IT部門沒有聯絡我，他們或許認為這是一件小事⋯⋯既然如此，我決定把這件事情公諸於世，為了驗證我沒有說謊，所以我會送一份小禮物。」

這一次，駭客盜取了馬偕工作人員的信箱，並將威脅信件廣泛發送。為了佐證，攻擊者更在信件中直接附上盜取來的「病患病歷」和「醫師個資」。

深入且廣泛的攻擊，使得2到3月期間，馬偕院內系統幾乎成為駭客的遊樂場。一名資深醫師向我們形容，大家甚至都不清楚攻擊是否還在持續，是系統重建的延遲還是駭客還潛伏在某處？有時護理長會站出來，跟大家講某天的11點攻擊會再度發生，然後系統就真的短暫當機，直到資訊人員出面問題才解決。

實際上，為了防堵駭客的不斷進攻，馬偕幾乎是傾盡全力在防守。鄭聰貴向我們解釋，攻擊發生後醫院除了召開會議決定不支付贖金外，也緊急花費1,000萬元採購「端點防護軟體」全院布建，試圖提前預警每一次攻擊。另一方面，為了控制病毒擴散，馬偕更援引處置COVID-19疫情時的經驗推動「分艙分流」──將不同院區之間的網路分隔，並加強重要主機的保護隔離。

「當初我應徵軟體工程師只是想寫好程式，什麼時候變成一個跟駭客作戰的戰士了？但好在上帝保佑，實際在前線作戰才知道我們的不足，」鄭聰貴說。

就在攻擊發生的2月中旬，馬偕醫院曾立即向政府進行資安通報，並由數位發展部資通安全署派員進駐來協助調查與復原。同時，馬偕資訊室也將遇襲的經驗、駭客使用的工具、入侵手法等初步研究回報給衛福部資訊處，再由公機關向旗下數十家醫療機構進行安全宣導與機會教育，希望能避免類似事件再次發生。

然而這不僅沒有擋住駭客的腳步，也沒有讓其餘醫療機構即時上緊發條。戰場急速擴大，讓雲林、彰化、南投唯一的醫學中心──彰化基督教醫院（簡稱彰基）也淪陷。

3月1日、二二八連假期間，CrazyHunter又以同樣的手法發動襲擊。經過長時間的潛伏，駭客將惡意程式偽裝成無害的驅動程式，來騙過防毒軟體偵測，一步步攻占該院系統。根據彰基發布的訊息顯示，受影響部分主要是醫院院外掛號系統短暫失靈和收費系統變慢；此外，攻擊導致的緊急應變狀態只持續兩天，在工程師積極搶修下，系統已於3月3日恢復正常，「核心系統未遭侵入，沒有資料外洩、病患權益受損或者全面被癱瘓的情形」。

而在面對《報導者》去電詢問攻擊詳情、影響範圍與後續資安規劃時，彰基則表示事件已過，不需進一步說明。

我們不清楚實際彰基面臨的狀況是否與馬偕一致，以及有無交付贖金，但自2月起，除了兩家醫學中心遭駭客攻擊外，陸續又傳出生技公司也遭駭侵。3月4日，衛福部資訊處因此火速將一連串的醫療資安事件定義為「系統性攻擊」，成立緊急應變小組協助受害醫院，並宣布不排除其他醫院可能成為下一個目標。

台大急診出身的衛福部資訊處處長李建璋告訴我們，短時間之內、連續攻擊、又都挑在假日深夜資訊人員稀少的時刻，同屬CrazyHunter的攻擊，讓他不得不先預想最壞的狀況，因為同等重要的醫院還有58家，都是維繫國家醫療運作任務的「關鍵基礎設施」（Critical Infrastructure, CI）。

此外，除了首次為針對醫院的駭客攻擊事件定調外，衛福部還在3月6日發布台灣第一個〈醫院面對勒索軟體攻擊的應變指南〉，讓全國醫院在統一的標準作業程序（SOP）下，能迅速有效地應對未來可能的攻擊。4月，衛福部資訊處緊接著商請馬偕在各醫院齊聚的資安大會中，分享駭客攻擊的手法以及防禦和復原經驗，希望加強不同醫院間的聯防體系。

「這次事件帶給我們的影響，就是（往後）醫院會變成一個非常有效的侵擾目標，然後會是常規的、不對稱的。只要花一個駭客，台灣就雞飛狗跳。況且從打馬偕開始，駭客沒有得手一毛錢，但是攻擊是要時間金錢的，加上查起來（攻擊）都是來自對岸，雖然本質上是勒索，但也不能排除會有勒索以外的動機。所以我們會覺得，醫院的資安，現在不只是病安，它還是國安，這個是這次事件一個非常重要的提醒，」李建璋強調。

實際上，就如李建璋所言，CrazyHunter造成的危害還在擴大。

3月至4月期間，這個駭客組織陸續將魔爪伸向其餘醫院和上市櫃企業，包括亞洲大學附設醫院、華城電機、科定企業、喬山健康科技等。3月31日，屬同集團的3家科技公司振曜科技（Netronix）、沛亨半導體（Analog Integrations）、東荃科技（Zunidata Systems）也紛紛發布資安重訊說明遭駭。其中，振曜科技的網站首頁更是遭到惡意置換，駭客聲稱加密了受害者所有的系統、覆寫與刪除了備份，更竊取了800 GB的資料，要求對方支付數十萬美元贖金。

「或許是因為我們有辦法掌握他正在攻擊哪些單位，也向好幾個受害者通報，這個舉動礙到他們了，」TeamT5創辦人兼執行長蔡松廷如此猜想。事後，TeamT5也立即發布聲明澄清公司客戶未受影響。

不過作為長期的觀察者，TeamT5對CrazyHunter的行為有些質疑。

蔡松廷告訴《報導者》，CrazyHunter與他們過往關注的APT攻擊組織有些不同：APT由於背後多半有政府的影子，帶有特定政治動機或目標，攻擊往往是透過長時間的潛伏來入侵系統，且保持自身行動的高隱蔽性，使受害者難以察覺；勒索軟體攻擊的特性則恰好相反，這類犯罪者以錢為目的，必須高調宣傳自己的攻擊事蹟，通常會挑選高價值的單位進行勒索，並盡可能地拓展業務範圍來提高獲利，「但CrazyHunter只針對台灣，又先挑醫院下手，儘管醫療機構掌握諸多敏感個資，但相對一般企業，營收並不算特別豐厚，此次受攻擊的兩家醫院更並非財報亮眼的單位。」

另一種可能，則是因為醫療機構的防禦普遍較少。長年鑽研各種攻擊手法的TeamT5技術長李庭閣解釋，相對於金融、科技等產業，醫療機構對資安的投資一直以來都比較不足，而醫院作為關鍵基礎設施，又存有最詳盡的病歷等個資；一旦一般民眾、政治人物到重要人士的數據被拿走利用，對國家安全絕對是巨大危害。

「那他的目的是真的要賺錢，還是他對台灣有一些政治目的，這個部分沒有辦法釐清得很清楚，畢竟有時候勒索的目的其實不在勒索，而在取得資料，再來是引起民生輿論。」

資安專家口中的這個手法又被稱作「雙重勒索」（Double Extortion），過去幾年被大量網路犯罪分子運用。一旦入侵成功，攻擊者會先偷取被害人的大量敏感資料，並同時將其電腦中的檔案上鎖要求贖金；倘若被害人無動於衷，攻擊者則會祭出更多手段，包含使用分散式阻斷服務（DDoS）攻擊、聯繫被害人的相關客戶、使關鍵基礎設施暫時失靈、或甚至公開部分資料來提高取得贖金的可能性。最終，這些盜取的數據還會出現在各種論壇或暗網上，成為待價而沽的拍賣標的。

美國資安公司Semperis就曾發表風險報告，指出駭客針對醫療保健組織的攻擊非常成功，造成了即時的混亂，並迫切需要恢復對患者的治療。而威脅並不會隨著一次攻擊而結束，遭受攻擊的醫療單位中，有35%指出他們同時遭受了多次攻擊；即使他們支付了贖金，仍有40%的單位敏感資料外洩。

實際上，資料外洩的情況就已經在台灣發生。早在2月28日，在駭客常用的論壇Breach Forums上，就有名為CrazyHunter帳號開價10萬美元在兜售馬偕醫院病患的個資。這批32.5 GB大小的「商品」內，含有1,660萬筆病人資訊，範圍涵蓋馬偕台北、淡水、新竹、台東院區，以及台北與新竹的兒童醫院在內。

即便如此，根據行政院個人資料保護委員會籌備處說明，如病歷、醫療、基因、性生活、健康檢查及犯罪前科等6種個人資料，統稱為「特種（敏感）資料」。這些資料因為性質較為特殊或具敏感性，如任意蒐集、處理或利用，恐會造成社會不安或對當事人造成難以彌補之傷害，因此有較嚴格之蒐集、處理或利用要件。

這些遭駭客盜取的病患病歷，成為台灣首次特種資料外洩的源頭之一。

3月12日，CrazyHunter為了加大威嚇力道，陸續又在暗網架設了專屬網站來公布相關證據。罩著帽T的黑色駭客圖示下，他們詳細列出其被害者名單、入侵過程以及相關勒索金額。其中，被害單位橫跨醫療、學術與製造業等8個單位，索取金額則在80萬至150萬美元之間；配合不斷倒數的計時器，CrazyHunter聲稱其採用的混合攻擊策略能在72小時內攻破目標單位的防線。

就在暗網網站成立不到兩週後，我們發現特種資料的外洩不僅於此─一份標明為CCH彰基的詳細資料包被駭客公布在第三方雲端空間Mega中，且最後更新的時間就停在今年3月初，駭侵事件發生的當下。

《報導者》檢視了這份大小將近10GB的資料，發現內容包含彰基的81萬筆會診紀錄、181萬筆健保申報資料、5萬筆員工現況資料、134萬筆人事資料，以及23萬筆手術室壓瘡紀錄等。其中的人事數據，清楚記載著員工代號、身分證字號、到職日期到任職部門等個資，範圍從19歲的基層實習護生到最高層級的總院長都囊括在內。

這份外洩資料中，還存有完整的病患病歷、會診紀錄與開刀資訊。從姓名、年齡、體重、動什麼手術、手術時間多久，到是去急診重症、血液腫瘤還是精神醫學科就診，全都被詳實記錄。整份資料總數高達428萬筆，時間跨度則從20世紀末一直到2025年。

在這樣近乎全方位的資料外洩裡，病患幾乎沒有任何隱私可言，這是除了醫院院務遭到癱瘓以外更重大的國安危機，因為沒有人知道這些詳盡的特種資料會怎麼被利用。李庭閣說，TeamT5曾在2023年觀察到一個名為「透明台海」的中國資料庫，裡頭建有政客、軍人、商人等分類，並列出每一個人的學經歷、身分證字號、住家地址、電話、出入台紀錄等個資：

「它還能把台灣重要人士的人際關係圖畫出來，若是再加入病歷，台灣的每個角落和每個人，對中國來說都會是透明的。」

為了更清楚地描繪特種資料外洩導致的國安威脅，《報導者》將兩家醫院的外洩資料進行比對，發現裡頭的確含有不少政治人物、上市櫃企業高層等人的就診紀錄。同時，我們也綜合多方訪問與資訊，模擬以下數種特種資料外洩可能導致的情境，包括針對病患本人和家屬的詐騙、鎖定企業高層的勒索、以及揭露政治人物隱私進行攻擊等，都將深深攪亂台灣社會的穩定：

一位彰基醫師阿寬（化名）就私下向我們表達了他的擔憂。他舉例，像是精神科的病歷中，就會包含非常詳盡的個人心理資訊，例如「心理衡鑑報告」是包含了個案心智、情緒和人格等各方面的評鑑，可以看出一個人的憂鬱指數、躁鬱指數或有沒有注意力不足過動症（ADHD）等，光從這份報告就可以得到許多隱密性極高的個資。部分心理治療過程中，病患甚至會透露自己的外遇情史、性傾向和工作機密。

不只是心理的隱私，阿寬也指出，生理上的諸多資訊同樣會在看診時被記載，如內科看診時，有時也會附上基因檢測報告或健檢資料，藉此來評估如病症的預後趨勢，以及最後病人要用什麼藥、劑量多少、時間多長等。「這個問題非常可怕，如果哪一天突然傳出某某政治人物在吃精神科的藥，或有潛在的遺傳疾病，那（病歷外洩）會不會就變成對台灣社會一個非常有效的擾亂？」他擔心地問道。

長年負責總統與重要政治首長醫療的台大醫院和台北榮民總醫院，也一直是被鎖定的目標。一名前台大醫院主任級醫師即透露，由於不少政壇高層都選擇至台大和北榮就醫，敏感的醫療資料因此被鎖定，導致這些機構同樣曝露在特種資料外洩的風險中。另一名台大主管級醫師也私下對我們透露，「醫院幾乎天天都在處理駭客問題」，只是面對《報導者》詢問，院方表示不方便受訪說明。

作為駭客攻擊案件的承辦者，刑事局科技犯罪防制中心主任林建隆進一步解釋了特種資料外洩的危害。他指出，最麻煩之處就在於其「武器化」，像不少公務人員若是被洩露有身心科、泌尿科之類的就診紀錄，很容易被貼上不適任的標籤；這樣的人若作為政策的制定者或執行者，難保不會被從重要職務中踢走，或甚至被威脅利用。

再者，是無所不在的詐騙。

追緝CrazyHunter途中，林建隆曾直接和對方對話。他指出，駭客們曾透露預備將取得的特種資料全數賣給詐騙集團做使用，這也是資料變現最快的方式。而施行詐騙甚至只需要其中幾個欄位即可，例如透過看診紀錄和付款資訊，向病患宣稱扣款失敗需重新支付、謊稱可以提供有效的標靶藥物來騙取大筆醫藥費，或針對病患資料量身定做一套結合情感詐騙和投資詐騙的「殺豬盤陷阱」等。

在這股特種資料外洩風暴下，從個人到整個社會幾乎都被陰霾籠罩，究竟這些個資最終會怎麼被「武器化」，我們難以確認，但仍希望做出提醒。因為在漫長調查後，刑事局發現躲在CrazyHunter名號背後的，是一位中國青年。

4月2日，就在馬偕報警後兩個月，刑事局召開記者會，宣布駭客是一名出身中國浙江省的20歲羅姓男子，本身也任職於資安公司，研判是為了錢而策劃一連串攻擊。警方透露，這名年輕駭客從15歲開始就學習各種攻擊技術和工具，非常擅於找尋漏洞，更習慣運用VPN/VPS等方式來隱匿身分；近期的襲擊中，他不慎留下可追蹤的工具和足跡，讓刑事局得以在一週內比對出真實身分，並由台北地檢署對他發布通緝。

林建隆在記者會上表示：「這是台灣首次公布駭客的真實身分，具有指標性意義，因為這代表台灣的執法機關有能力偵辦並找出境外駭客，對其他攻擊者也能帶來有效的威嚇效果。」但接受採訪時，林建隆也指出境外調查的局限性，例如CrazyHunter究竟只是一個人、還是一群人所組成，幾乎難以判定。事後，這位從事資安工作多年的高階警官更首次透過兩岸共打機制邀請中方協查，儘管希望渺茫。

執法單位的努力，讓藏身陰影中的駭客現身，但關於個資外洩的處理，卻沒有任何機關願意承擔。

根據《個人資料保護法》第29條規定，非公務機關違反規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任⋯⋯以每人每一事件新台幣500元以上、2萬元以下計算。

若是以此次馬偕和彰基外洩病歷加總，超過2千萬筆個資粗估賠償金額將高達100億至4,000億元之間。只是該法後面還留有但書──能證明其無故意或過失者，不在此限。那麼如何證明受駭方是故意還是過失？又該由誰來負責認定？

我們將問題輪流拋給所有政府機關。

面對駭客屢次進犯，衛福部資訊處直言，其職責同樣在於提升醫療機構的防護量能，事後已經將全台兩百多間醫院納入駭客攻防演練，也在進行的的智慧醫療政策中鼓勵所有醫療機構加強對資安的投注。但由於不具備調查能力與工具，他們只能仰賴醫事司配合各地衛生局啟動「行政調查」，透過實地稽核去確認各醫院是否已經做好基礎的資安防護，就像小偷闖空門，衛福部是事後到家裡確認哪裡的門窗沒有鎖好；至於小偷是誰、竊案是怎麼發生的，還需仰仗執法單位出面調查。

接獲醫院報案後，刑事局和調查局都曾派員進駐調查，試圖釐清攻擊軌跡和源頭。然而跨境且匿蹤的網路攻擊本就難以捉摸，加上執法單位的職責僅限於犯罪偵查，他們並不認為自己應該承擔起個資外洩的認定責任，反而建議由主管機關負責。

「如果目的事業主管機關都沒有針對個資外洩狀況進行調查和裁罰，會不會反而讓被駭機關都能輕鬆撇清責任？」一位資深執法人員質疑。

到頭來，關於個資外洩的處置與究責又回到原點，外洩的風險依舊由全民承擔，而這不是類似情況第一次發生。2019年北市衛生局、2022年內政部、到2023年健保署都曾有大規模資料外洩狀況並遭到當事機關否認，而醫療體系健康個資的外洩在各國都被列為「國安層級」。2023年《彭博新聞社》（Bloomberg News）專欄就特別點出，台灣愈來愈多醫療外洩的案例顯示，削弱和破壞台灣國家安全的問題正在發生。

為了防堵，行政院在2021年發布〈行政院及所屬各機關落實個人資料保護聯繫作業要點〉，並提及當重大矚目之個資外洩案件發生時，應由行政院召開聯繫會議，重點任務就在於「解決個資外洩案件管轄權爭議，確認管轄機關，及案件行政檢查之協調」。

然而4年過去了，來自中國的青年駭客CrazyHunter懷揣惡意的攻擊，不僅打擊醫院運作、攪亂社會氛圍，更再次戳破了台灣個資外洩事件粗糙的處置方式。正如CrazyHunter放在暗網網站上的一句充滿挑釁的警語：「There is no absolute safety!（絕對的安全並不存在！）」資安防護與駭客攻擊這場矛與盾的競賽中，我們無法承擔讓全民輸掉的風險。